查找iPhone应用程序的专用API密钥

到最近为止，我已经在我的iPhone上进行了不少

MITM

攻击。我一直渴望更好地理解的许多应用程序都很容易进行逆向工程，只需使用

cURL

模拟发送到服务器的请求即可。然而，其他人需要一个签名，我猜这个签名使用一个秘密密钥，用于生成有效负载的散列。不久前，当我对Instagram的API进行反向工程时，它是这样的

function GenerateSignature($data) {
    return hash_hmac('sha256', $data, 'b4a23f5e39b5929e0666ac5de94c89d1618a2916');
}

$data = '{"device_id":"'.$device_id.'","guid":"'.$guid.'","password":"'.$pass.'","username":"'.$username.'","email":"'.$email.'","_csrftoken":"c3a1648209b1eeefd7bd8d404211be5e", "Content-Type":"application/x-www-form-urlencoded; charset=UTF-8"}';  
$sig = GenerateSignature($data);
$new_data = 'signed_body='.$sig.'.'.urlencode($data).'&ig_sig_key_version=4';

然后，很明显，查询字符串将与请求一起发送到服务器。但是，对于我真正感兴趣的应用程序，我似乎找不到使用Charles的API密钥。我的iPhone已被越狱，但我不太确定在

var/mobile/applications

文件夹中哪里可以找到API密钥？有什么想法吗

您可以使用来查找密钥。或者使用Java反汇编工具

---

还有一个Web服务，您可以上传APK并扫描其恶意软件。该报告包括带键的ADB logcat输出，例如，请参见（滚动至底部“由ADB logcat生成的输出”）。

如果应用程序中有键，则需要使用标准工具集-反汇编、哈希方法断点或请求来确定正在使用的键。请详细说明。因为，我已经查看了请求（所有请求都有签名），但似乎找不到密钥。伙计，这是工作。您必须将代码追溯到生成签名的位置，然后从中提取签名。您能够解决它吗？